نسل جدید بد افزار بدون هیچ فایل قابل شناسایی
بدافزارهای کلاسیک در برابر بد افزارهای پیشرفته
در روش مدرن شانس هکرها و بدافزارها برای ناشناخته ماندن بسیار افزایش یافته است، زیرا چنانچه هیچ ردی از خود در دیسک سخت کاربر باقی نگذارند، احتمال شناسایی آنها بسیار کاهش مییابد. طبعا یافتن بدافزاری که فایل مخصوص خود را بر روی دیسک سخت دارد، بسیار دشوارتر از نمونهای است که در حافظه پنهان شده است. تنها یک استثنا در این مورد وجود دارد و آن اینکه بدافزار از نوع Rootkit بوده و در واقع فایل آن بر دیسک وجود دارد؛ اما قابل رویت نیست.
این موضوع زمانی که بدافزارها از طریق کدهای اسکریپت رمزگذاری شده وارد سیستم قربانی می شوند، به مراتب وخیم تر است. اما از آن سوی یک نکته اساسی وجود دارد و آن این است بدافزاری که در حافظه مستقر میشود، زمان اندکی برای فعالیت خود دارد، زیرا با Shut Down شدن سیستم فعالیت وی به پایان خواهد رسید. در نتیجه یک راه اساسی برای رفع مزاحمت این بدافزارها Restart کردن سیستم است که البته راه حل چندان مناسبی نیست.
سوی دیگر قضیه این است که معمولا کاربران قبل از خاموش کردن سیستم، ساعت ها با آن به امورات روزمره خود می پردازند و در نتیجه بد فزار در این زمان فرصت کافی برای سرقت اطلاعات و حتی دانلود سایر بد افزارهای دیگر دارد.
نرم افزارهای امنیتی سنتی قادر به شناسایی بدافزارها در حافظه و دیسک سخت، تنها پس از آلوده شدن سیستم هستند. اگر بخشی از کد بدافزار به حد کافی جدید و پیچیده باشد، شانس زیادی برای آلوده کردن سیستم دارد.
این نکته ای بسیار اساسی است، زیرا اغلب نرم افزارهای امنیتی درگیر یک بازی موش و گربه هستند، در حالی که تکنولوژی جدید باید به سمت شناسایی رفتار کد چه در حافظه و چه در دیسک سخت باشد، و همچنین تا حد ممکن قبل از آلوده شدن سیستم به شکل کامل توسط بدافزار.
